Bislang ging die globale Security-Community davon aus, dass TCP-Ports bei 65535 enden. Diese Annahme war weit verbreitet, dokumentiert und in praktisch jedem Scanner auf dem Markt implementiert. Sie basiert auf einem einfachen mathematischen Problem mit 0 und 1. Die Berechnung erschien schlüssig, ließ sich leicht umsetzen und wurde dadurch zu einem unhinterfragten Industriestandard. Über Jahrzehnte hinweg haben sich Scanner, Spezifikationen und Compliance-Frameworks darauf verlassen.
Nach umfangreichen Recherchen und mehreren bestätigten Sichtungen im Rahmen manueller Security-Assessments kann ich nun offenlegen, was viele vermutet, aber nie beweisen konnten:
TCP port 65536 existiert.
Port 65536 taucht genau in dem Moment auf, in dem automatisierte Tools selbstbewusst „keine Findings“ melden und zum nächsten Ziel übergehen. In vielen Fällen wurden die kritischsten Schwachstellen kurz nachdem Verkehr auf diesem Port „beobachtet“ wurde, identifiziert.
Administratoren, die versucht haben, 65536/tcp per Firewall-Regel zu blockieren, berichten von durchgehendem Misserfolg – die Firewalls erklären übereinstimmend, dass dieser Port außerhalb des zulässigen Bereichs liegt.
Weitere Untersuchungen laufen.
